Outsourcing: 10 Tipps zur Auftragsdatenverarbeitung

Wenn sensible Daten an einen Dienstleister weitergegeben werden, stellen sich die folgenden Fragen:

• Was passiert mit diesen Daten?
• Sind die Daten genauso sicher wie beim Unternehmer?
• Wie geht der Dienstleister mit den Daten um?
• Was geschieht, wenn Fehler passieren?

Hierbei ist der Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung verpflichtend. Bei Nichteinhaltung der Vorgaben gehen Sie nicht unerhebliche Risiken ein:

• Bußgeldrisiko: Sie können eine Ordnungswidrigkeit erfüllen, wenn Sie keine Vereinbarung zur Auftragsdatenverarbeitung schließen oder den Dienstleister nicht von Anfang richtig kontrollieren. Bußgeldhöhe: bis 50.000 EUR
• Reputationsrisiko: Stellen Sie sich die Folgen vor, wenn Ihre Kunden- oder Mitarbeiterdaten in falsche Hände geraten? Negative Pressenachrichten sind dabei keine Seltenheit.
• Kundenbeschwerden: Kunden fühlen sich möglicherweise nicht mehr richtig aufgehoben und beschweren sich bei der Aufsichtsbehörde.

Was ist die Auftragsdatenverarbeitung?

Die Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch einen Dritten im Auftrag der verantwortlichen Stelle. Bei Letzterer handelt es sich um den Unternehmer, der seine Tätigkeiten wie z. B. Gehaltsabrechnungen von einem Dritten durchführen lässt oder das gesamte Rechenzentrum auf einen darauf spezialisierten Dienstleister auslagert. Regelmäßig werden dabei personenbezogene Daten wie die eigenen Mitarbeiterdaten oder gespeicherte Kunden- und Vertragspartnerdaten an den sogenannten Auftragnehmer übermittelt.

Das Bundesdatenschutzgesetz (BDSG) gibt hierfür konkrete rechtliche Bedingungen zur Einhaltung der Datenschutzanforderungen vor. Der auslagernde Unternehmer hat die Erfüllung dieser Voraussetzungen sicherzustellen.

Denken Sie immer daran, die verantwortliche Stelle ist und bleibt für die Daten verantwortlich. Deshalb ist die Auswahl des richtigen Auftragnehmers sehr bedeutend. Die verantwortliche Stelle überträgt die rechtlichen Pflichten auf den Auftragnehmer, der dann z. B. die Gehaltsabrechnung vornimmt, das Rechenzentrum vorhält oder die Alt-Akten archiviert. Ziel ist, dass der Umgang mit den Daten durch den Auftragnehmer mindestens dieselben datenschutzrechtlichen Anforderungen erfüllt wie sie beim abgebenden Unternehmer erfüllt wurden. Es sollen keine Datenschutzlücken durch Einschaltung Dritter entstehen.

Was ist Inhalt eines solchen Vertrages?

In der Regel hat der Unternehmer bereits einen Dienstleister ausgewählt und mit ihm einen Vertrag geschlossen. Darin sind dann die Modalitäten wie Tätigkeitsbeschreibung, Laufzeit, Kosten, Haftung etc. festgelegt. Oft nicht geregelt sind die besonderen Aspekte von Datenschutz und Datensicherheit. Das wird dann in einer zweiten Vereinbarung, dem Vertrag zur Auftragsdatenverarbeitung, geregelt. Dieser kann als Anlage zum bestehenden Dienstleistungsvertrag hinzugenommen werden. Steht der Unternehmer noch vor der Auswahl des Dienstleisters, sollte dieser Punkt bereits in den Vertragsverhandlungen mit angesprochen werden. Grundsätzlich kann gesagt werden, dass der Dienstleistungsvertrag die Grundlage für die Beschreibung des Vertragsinhaltes einer Auftragsdatenverarbeitung bildet.

10 unverzichtbare Tipps zur inhaltlichen Ausgestaltung eines Auftragsdatenverarbeitungs-Vertrags:

1. Vereinbaren Sie Vertragsgegenstand und Dauer des Vertrages.
2. Legen Sie Zweck, Umfang und Art der Dienstleistung fest.
3. Bezeichnen Sie die Art der betroffenen Daten (wie z.B. Namen, Adressen, Bankverbindungen, Gesundheitsdaten).
4. Beschreiben Sie, wer von der Datenweitergabe betroffen ist (z. B. Mitarbeiter, Kunden, Vertragspartner).
5. Legen Sie die technisch-organisatorischen Maßnahmen fest (siehe unten).
6. Vereinbaren Sie verpflichtende Klauseln, die den Auftragnehmer zum ordnungsgemäßen Umgang mit den Daten anhalten, sprich bei Notwendigkeit unrichtige Daten zu berichtigen oder löschen.
7. Regeln Sie die Kontrollrechte des Unternehmers (Auftraggeber genannt) beim Auftragnehmer.
8. Bestimmen Sie Zulässigkeit und Zustimmungsmodalitäten für die Einschaltung von Subunternehmern
9. Vereinbaren Sie eine Verpflichtung, bei Verstößen gegen datenschutzrechtliche Vorgaben zusammenzuarbeiten.
10. Regeln Sie die Verpflichtung, Daten nach Vertragsende zu vernichten bzw. Datenträger zurückzugeben.

Kritisch bzw. mit besonderer Sorgfalt sind die besonders schützenswerten Daten zu behandeln. Das sind Angaben über rassische/ ethnische Herkunft, politische Meinungen, religiöse und philosophische Überzeugungen, Gewerkschaftszugehörigkeit, aber auch Gesundheitsdaten und Sexualleben. Die Gesundheitsdaten haben einen besonderen Schutz dadurch erhalten, dass das Strafgesetzbuch diese unter den Privatgeheimnis-/ Berufsgeheimnisschutz stellt.

Technisch-organisatorische Maßnahmen

Besonderes Augenmerk ist auf die technisch-organisatorischen Maßnahmen zu legen. Diese sind ebenfalls durch das BDSG vorgegeben. Am einfachsten lässt es sich in der Tat anhand der Liste im Gesetz [SM1] prüfen (vgl. Anlage zu § 9 BDSG). Ziel ist es, genau zu beschreiben und festzulegen, ob und wie die fremden Daten beim Auftragnehmer gesichert sind. Folgende Regelungskomplexe stechen hervor:

• Zutrittskontrolle – am Anfang stehen einfache Fragen: Ob und in welcher Form ist das Gebäude, in dem sich der Auftragnehmer aufhält, abgeschlossen? Ist ein Empfang besetzt? Werden Gäste kontrolliert?
• Zugangskontrolle – hier wird es schon schwieriger: Sind die Daten vor Zugriffen Dritter geschützt? Welche Spamfilter, Verschlüsselungen etc. werden eingesetzt?
• Zugriffskontrolle – der Auftragsnehmer muss sicherstellen, dass nur berechtigte Mitarbeiter Zugriff auf die Daten haben und die Daten nicht von unbefugt gelesen, verändert oder gelöscht werden.
• Nachvollziehbarkeit – es ist ferner sicherzustellen, dass nachvollziehbar ist, was mit den Daten gemacht wurde; wer hat die Daten eingegeben oder verändert? Wohin sind sie geschickt worden? Hier spielen die Eingabe- und Weitergabekontrolle eine große Rolle.
• Auftragskontrolle – Stellen Sie sicher, dass die übertragenen Daten auch entsprechend Ihrer Vorgaben verarbeitet werden.
• Verfügbarkeitskontrolle – Geben Sie dem Auftragnehmer Pflichten auf, dass er die jederzeitige Verfügbarkeit der Daten sicherstellt.
• Trennungsgebot – da der betreffende Auftragnehmer in den meisten Fällen nicht allein für einen Unternehmer arbeitet, sondern auch Daten anderer Auftraggeber erhält, ist eine klare Trennung der Daten bei ihm sicherzustellen

Viele Auftragnehmer verfügen mittlerweile über sehr gute IT-Sicherheitskonzepte, die insbesondere die zuvor beschriebenen Punkte und viele andere sicherheitsrelevante Aspekte mit abdecken. Diese können Inhalt des Auftragsdatenverarbeitungsvertrages werden und ersetzen häufig die Beschreibung der technisch-organisatorischen Maßnahmen.

Wenn Sie diese Punkte geklärt haben, können Sie die Daten ruhigen Gewissens übermitteln, da Sie sich vorher vom sicheren Umgang überzeugt haben. Für den schlimmsten Fall, z. B. eine Datenpanne (Verlust von Daten), haben Sie schließlich Vereinbarungen getroffen, wie dann zu verfahren ist.

Erstellen Sie jetzt Ihre individuelle Vereinbarung zur Auftragsdatenverarbeitung!